- Το επίσημο έγγραφο της Cosmote προς την ΑΔΑΕ που αφορά στην σκοτεινή υποθεση δημοσιεύουν οι Data Journalists
- Η περίεργη στάση της δικαιοσύνης που έκρινε ότι δεν προκύπτουν ποινικές ευθύνες, αποδίδοντας τη διαρροή σε ανθρώπινο σφάλμα
- Η Επιτροπή Αναφορών του Ευρωπαϊκού Κοινοβουλίου, έχει ζητήσει εγγράφως εξηγήσεις από την ελληνική κυβέρνηση μετά από καταγγελία του κ. Φλωρά και την ακρόασή του ενώπιον της Επιτροπής Αναφορών.
- Στο «εμπιστευτικό» έγγραφο που δημοσιεύουν οι Data Journalists, η εταιρεία περιγράφει τι αφορούσε το αρχείο των 30 GB (cd.gz) που απεστάλη σε IP στη Λιθουανία στις αρχές Σεπτεμβρίου.
- Με ποιο τρόπο οι hackers έκαναν σμπαράλια τα συστήματα ασφαλείας της Cosmote.
Του Βαγγέλη Τριάντη
Νέα διάσταση στην υπόθεση διαρροής δεδομένων εκατομμυρίων χρηστών μετά από επίθεση hackers στην Cosmote το Σεπτέμβριο του 2020, δίνει η σημερινή αποκάλυψη των Data Journalists. Επρόκειτο για αρχείο μεγέθους 30 GB το οποίο περιείχε δεδομένα επικοινωνίας 12.013.928 συνδρομητών της Cosmote, τα οποία μεταφέρθηκαν σε IP στη Λιθουανία.
Ωστόσο, όπως προκύπτει από επίσημο έγγραφο της Cosmote προς την ΑΔΑΕ που δημοσιεύουν οι Data Journalists, οι hackers είχαν υποκλέψει δεδομένα χρηστών κινητής τηλεφωνίας από την Cosmote ακόμη δύο φορές. Η πρώτη στις 8 Ιουλίου του 2020 και η δεύτερη ένα μήνα μετά, στις 10 Αυγούστου του 2020, με τον όγκο των δεδομένων που υπεκλάπησαν από το server της Cosmote να ανέρχεται σε 52 GB. Δεδομένου ότι το αρχείο των 30 GB, της υποκλοπής του Σεπτεμβρίου του 2020, αφορούσε σε δεδομένα επικοινωνίας 12 και πλέον εκατομμυρίων συνδρομητών, αντιλαμβάνεται κανείς το μέγεθος της διαρροής.
Την ίδια ώρα, ερωτήματα εγείρει η στάση της ελληνικής Δικαιοσύνης σε ό,τι αφορά στη συγκεκριμένη υπόθεση. Η Εισαγγελία Πρωτοδικών ερεύνησε την υπόθεση της διαρροής του αρχείου των 30 GB μετά από μηνυτήρια αναφορά του επιχειρηματία Γιώργου Φλωρά το 2022. Ωστόσο, δύο φορές ο εισαγγελικός λειτουργός έθεσε τη δικογραφία στο αρχείο, καθώς έκρινε ότι δεν προκύπτουν ποινικές ευθύνες, αποδίδοντας τη διαρροή σε ανθρώπινο σφάλμα και την επίθεση των hackers. Παρά το γεγονός ότι η προηγουμένως η ΑΔΑΕ με την υπ’ υπ’ αριθμόν 225/2022 απόφαση της διαπίστωσε «αποκλίσεις ως προς την πολιτική ασφάλειας για τη διασφάλιση του απορρήτου των επικοινωνιών της Cosmote» και επέβαλλε στην εταιρεία πρόστιμο.
Να σημειωθεί ότι η παραβίαση του απορρήτου των επικοινωνιών εκατομμυρίων χρηστών κινητής τηλεφωνίας στη χώρα μας από τις εταιρείες κινητής τηλεφωνίας έχει λάβει ευρύτερες διαστάσεις. Συγκεκριμένα, η Επιτροπή Αναφορών του Ευρωπαϊκού Κοινοβουλίου, έχει ζητήσει εγγράφως εξηγήσεις από την ελληνική κυβέρνηση μετά από καταγγελία του κ. Φλώρα και την ακρόασή του ενώπιον της Επιτροπής Αναφορών. Να σημειωθεί ότι η αναφορά του κ. Φλωρά έχει ήδη παραπεμφθεί και στην Επιτροπή LIBE του Ευρωπαϊκού Κοινοβουλίου. Δηλαδή την Επιτροπή που παρακολουθεί την κατάσταση του κράτους δικαίου στις χώρες-μέλη της ΕΕ, μεταξύ αυτών και την Ελλάδα. Ας πάρουμε όμως τα πράγματα από την αρχή.
Το έγγραφο της Cosmote προς την ΑΔΑΕ
Στις 8 Οκτωβρίου του 2020, η Διεύθυνση Ασφαλείας Πληροφοριών και Αποτροπής Τηλεπικοινωνιακής Απάτης της Cosmote απέστειλε έγγραφο προς την ΑΔΑΕ, με την ένδειξη «εμπιστευτικό». Το έγγραφο αφορούσε στην παροχή «συμπληρωματικών στοιχείων» αναφορικά με την υποκλοπή δεδομένων επικοινωνίας που είχε διαπιστωθεί ένα μήνα πριν, στις αρχές Σεπτεμβρίου του 2020 για την οποία η Cosmote είχε αποστείλει αρχικά αναφορά στις 10 Σεπτεμβρίου του 2020.
Στο «εμπιστευτικό» έγγραφο λοιπόν που δημοσιεύουν οι Data Journalists, η εταιρεία αρχικά περιγράφει τι αφορούσε το αρχείο των 30 GB (cd.gz) που απεστάλη σε IP στη Λιθουανία στις αρχές Σεπτεμβρίου. Όπως υπογραμμίζεται στο έγγραφο, το αρχείο περιείχε «δεδομένα επικοινωνίας (A Number – B Number, δεδομένα θέσης, διάρκεια κλήσης, ένδειξη παρόχου κτλ)» καθώς επίσης και «προσωπικά δεδομένα (τιμολογιακό πρόσγραμμα συνδρομητή, ηλικία, φύλο).
Επίσης στο έγγραφο περιγράφεται ο τρόπος με τον οποίο οι hackers έκαναν σμπαράλια τα συστήματα ασφαλείας της Cosmote. Ο τρόπος δεν ήταν κάτι ιδιαίτερο. Το «κλειδί» για την πρόσβαση στα αρχεία ήταν ο κωδικός πρόσβασης ενός διαχειριστή ο οποίος είχε διαρρεύσει στο linkedin.
«Από τη διερεύνηση προέκυψε ότι από την ίδια IP διεύθυνση προς την οποία διαβιβάστηκε το αρχείο cd.gz, είχε πραγματοποιηθεί στις 14/04/2020 hacking σε ιστοσελίδα η οποία φιλοξενείτο στην υπηρεσία webhosting. O hacker κατάφερε να αποκτήσει διαχειριστική πρόσβαση χρησιμοποιώντας τον κωδικό πρόσβασης ενός διαχειριστή, ο οποίος είχε διαρρεύσει από το linkedin. Στη συνέχεια ο hacker κατάφερε να εκτελέσει ερωτήματα σε σύστημα Big Data από το οποίο εξήγαγε το αρχείο cd.gz», αναφέρεται στο έγγραφο της Cosmote.
Στο ίδιο έγγραφο αναφέρεται και κάτι ακόμη. Ότι στην ίδια λιθουανική IP είχαν μεταφερθεί και άλλα αρχεία με δεδομένα τα οποία είχαν υποκλαπεί από το server της Cosmote. Επρόκειτο για αρχεία «σημαντικού μεγέθους», εκ των οποίων τα τρία μεταφέρθηκαν στις 8 Ιουλίου του 2020 και τα υπόλοιπα ένα μήνα πριν στις 10 Αυγούστου του 2020. Το συνολικό μέγεθος των αρχείων που μεταφέρθηκαν στη Λιθουανία ανέρχεται σε 52 GB. Με απλά λόγια οι hackers είχαν υποκλέψει και άλλα δεδομένα χρηστών.
«Τέλος προέκυψε ότι προς την λιθουανική IP, προς την οποία είχε διαβιβαστεί το αρχείο cd.gz, πραγματοποιήθηκαν επιπλέον τέσσερα σημαντικού μεγέθους data transfers (άνω του 1 GB) από server της Cosmote και συγκεκριμένα στις 8/07/2020 (37 GB, 2,4 GB και 8 GB) και στις 10/08/2020 (6,1 GB). Έως σήμερα δεν έχει καταστεί εφικτό να εντοπιστεί το είδος των δεδομένων που διαβιβάστηκαν με την εν λόγω κίνηση», επισημαίνεται χαρακτηριστικά στο έγγραφο.
Η διαρροή των 30 GB και το πρόστιμο της ΑΔΑΕ
Η υποκλοπή δεδομένων 12.013.928 χρηστών της Cosmote που έλαβε χώρα το Σεπτέμβριο του 2020, περιγράφεται αναλυτικά στην υπ’ αριθμόν 225/2022 απόφαση της ΑΔΑΕ. Ειδικότερα, όπως προέκυψε από την έρευνα, οι hackers κατάφεραν να σπάσουν το απόρρητο της εταιρείας «..χρησιμοποιώντας τα στοιχεία πρόσβασης ενός διαχειριστή, ο κωδικός πρόσβασης του οποίου βρισκόταν σε λίστες που συντηρούν hackers με κωδικούς πρόσβασης που έχουν διαρρεύσει (leaked passwords databases) από μέσα κοινωνικής δικτύωσης (LinkedIn, Facebook, κλπ.) και άλλες υπηρεσίες..».
Δηλαδή, όπως αναφέρουν στην έκθεσή τους οι ελεγκτές της ΑΔΑΕ, «σε βάση δεδομένων, την οποία συντηρούσαν hackers, είχαν περιληφθεί στοιχεία προσδιοριστικά της εταιρείας και του λογαριασμού πρόσβασης (όνομα χρήστη και κωδικός πρόσβασης) εργαζομένου της εταιρείας COSMOTE, ο οποίος μάλιστα είχε δικαιώματα διαχειριστή σε Πληροφοριακά και Επικοινωνιακά Συστήματα (ΠΕΣ) της εταιρείας».
Μάλιστα όπως διαπίστωσαν οι ελεγκτές, «τα κρίσιμα στοιχεία του λογαριασμού πρόσβασης του εργαζόμενου της εταιρείας, τα οποία προορίζονταν για χρήση στα ΠΕΣ της» ενδέχεται να «είχαν χρησιμοποιηθεί και σε προσωπικές, εκτός εταιρείας, εφαρμογές/υπηρεσίες, από τις οποίες και διέρρευσαν».
Τελικά η ΑΔΑΕ, με την υπ΄αριθμόν 225/2022 απόφαση της, εντόπισε ευθύνη της «COSMOTE για «τη διαρροή στοιχείων προσδιοριστικών της εταιρείας και του λογαριασμού πρόσβασης (όνομα χρήστη και κωδικός πρόσβασης)» και της επέβαλε πρόστιμο ύψους 200.000 ευρώ. Επίσης η ΑΑΔΕ διαπίστωσε «αποκλίσεις κατά τον χρόνο εκδήλωσης του υπό εξέταση περιστατικού, ως προς την εφαρμογή της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών της COSMOTE» και της επέβαλε πρόστιμο ύψους 3 εκατ. ευρώ.
Διάτρητο το απόρρητο για εκατομμύρια χρήστες κινητής τηλεφωνίας
H Εισαγγελία δεν διαπίστωσε ποινικές ευθύνες
Η υπόθεση της διαρροής προσωπικών δεδομένων απασχόλησε και την Εισαγγελία Πρωτοδικών Αθηνών. Το Νοέμβριο του 2022 ο επιχειρηματίας Γιώργος Φλωράς κατέθεσε μηνυτήρια αναφορά για τη συγκεκριμένη υπόθεση. Η δικογραφία που σχηματίστηκε τέθηκε όμως δύο φορές στο αρχείο. Ο εισαγγελέας που χειρίστηκε τη δικογραφία δεν εντόπισε ποινικές ευθύνες ούτε της εταιρείας, ούτε και του νομιμού εκπροσώπου της σε ό,τι αφορά στη διασφάλιση του απορρήτου των επικοινωνιών. Παρά το γεγονός ότι στην υπ’ αριθμόν 225/2022 απόφασή της η ΑΔΑΕ διαπίστωσε αποκλίσεις ως προς την πολιτική ασφάλειας για τη διασφάλιση του απορρήτου των επικοινωνιών της εταιρείας, καθώς επίσης και παράβαση της κείμενης νομοθεσίας περί προστασίας του απορρήτου των επικοινωνιών. Όπως καταγγέλλει στους Data Journalists ο κ. Φλωράς, η αρχειοθέτηση έγινε δίχως να κληθούν μάρτυρες ούτε από την ΑΔΑΕ, ούτε και από την Cosmote.
«Στην Εισαγγελία έκανα μηνυτήρια αναφορά για την υπόθεση το 2022. Έως σήμερα έχει αρχειοθετηθεί δυο φορές χωρίς να κληθεί ουδείς μάρτυρας από την ΑΔΑΕ ή από την εταιρεία τηλεφωνίας. Και αναφερόμαστε στην μεγαλύτερη παραβίαση του απορρήτου των επικοινωνιών στην Ελλάδα. Μετά την πρώτη αρχειοθέτηση και αφού είχαν γίνει ερασιτεχνικές ενέργειες από τον Εισαγγελέα, διαμαρτυρήθηκα στην κ. Εισαγγελέα του Αρείου Πάγου. Με εντολή της εξετάστηκε η υπόθεση, διαπιστώθηκε η αστοχία του Εισαγγελέα, και επανεξετάσθηκε, δυστυχώς, από τον ίδιο Εισαγγελέα, ο οποίος, αφού έσφαλε την πρώτη φορά, είχε υποχρέωση στον εαυτό του να καλυφθεί για το πρώτο σφάλμα του. Δεν κάλεσε κανέναν ως μάρτυρα, ούτε την δεύτερη φορά. Σε ένα τόσο ειδικό ζήτημα, δεν κάλεσε την ΑΔΑΕ να του τα εξηγήσει και να αναδείξει τις ευθύνες στην COSMOTE και συμπέρανε ότι φταίνε οι χάκερ και κανείς άλλος. Οι χάκερ που προκύπτουν μόνο από τους ισχυρισμούς της COSMOTE. Δεν κάλεσε κανέναν ως μάρτυρα ή ως ύποπτο, και έκλεισε την υπόθεση. Η 2η Διάταξη αρχειοθέτησης βρίθει σφαλμάτων και πάλι, ελπίζω την τρίτη φορά να εξεταστεί όπως πρέπει, σημειώνει στους Data Journalists ο κ. Φλωράς.
Εξηγήσεις από την ελληνική κυβέρνηση
Υπενθυμίζεται ότι το ζήτημα της συστηματικής παραβίασης του απορρήτου των επικοινωνιών χρηστών κινητής τηλεφωνίας στη χώρα μας βρίσκεται ήδη στο μικροσκόπιο του Ευρωπαϊκού Κοινοβουλίου.
Όπως είχαν αποκαλύψει οι Data Journalists, το περασμένο καλοκαίρι ο επιχειρηματίας Γ. Φλωράς απέστειλε αναφορά στο Ευρωκοινοβούλιο με την οποία κατήγγειλε συστηματική παραβίαση του απορρήτου των επικοινωνιών εκατομμυρίων χρηστών κινητής τηλεφωνίας στη χώρα μας από τις εταιρείες κινητής τηλεφωνίας. Πρόκειται για την υπ’ αριθμόν 0449/2024 αναφορά σχετικά με εικαζόμενες παραβιάσεις του απορρήτου των επικοινωνιών.
Η Ελλάδα σε απολογία για το απόρρητο-σουρωτήρι της κινητής τηλεφωνίας
Στις 5 Ιουλίου, ο πρόεδρος της Επιτροπής Αναφορών, Dolors Montserrat, απέστειλε απαντητική προσωπική επιστολή στον κ. Φλωρά. Σε αυτή, ο κ. Montserrat ανέφερε ότι η Επιτροπή Αναφορών εξέτασε την αναφορά και την χαρακτήρισε ως «παραδεκτή». Μάλιστα, όπως επισημαίνεται στην απαντητική επιστολή, ο κ. Montserrat ζήτησε «από την Ευρωπαϊκή Επιτροπή να διεξαγάγει προκαταρκτική έρευνα επί του θέματος», ενώ παράλληλα τη διαβίβασε «στην Επιτροπή Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων (LIBE) του Ευρωπαϊκού Κοινοβουλίου, προς ενημέρωση». Επιπλέον, ο πρόεδρος της Επιτροπής Αναφορών επισήμανε ότι για «οποιαδήποτε περαιτέρω ενέργεια θα τον ενημέρωνε εγκαίρως».
Λίγους μήνες μετά ο κ. Φλωράς ειδοποιήθηκε να μεταβεί στις Βρυξέλλες, καθώς η έκθεσή του επρόκειτο να συζητηθεί ενώπιον της Επιτροπής Αναφορών του Ευρωκοινοβουλίου. Πράγματι ο επιχειρηματίας μετέβη στις Βρυξέλλες στις αρχές του περασμένου Οκτωβρίου. Κατά τη διάρκεια της ακρόασης από τους ευρωβουλευτές της Επιτροπής, κατήγγειλε ότι στην Ελλάδα «παραβιάζεται συστηματικά το απόρρητο των επικοινωνιών των χρηστών κινητής τηλεφωνίας με ευθύνη των μεγάλων εταιρειών τηλεπικοινωνίας».
Προς επίρρωση των καταγγελιών του ο κ. Φλωράς επικαλέστηκε 96 αποφάσεις της ΑΔΑΕ περί παραβίασης του απορρήτου των επικοινωνιών που έχουν εκδοθεί τα τελευταία επτά χρόνια. Οι 52 από αυτές αφορούν στην Cosmote. Η ΑΔΑΕ επέβαλε μεν πρόστιμα στις εταιρείες, ωστόσο, όπως υποστήριξε, το ύψος των προστίμων ήταν το ελάχιστο που προβλέπει η νομοθεσία.
Λίγες μέρες μετά την ακρόαση και συγκεκριμένα στις 18 Οκτωβρίου ο κ. Φλωράς έλαβε και δεύτερη επιστολή από τον πρόεδρο της Επιτροπής Αναφορών, Dolors Montserrat. Όπως αναφέρεται σε αυτή, «μετά τη συζήτηση, η επιτροπή αποφάσισε να παραπέμψει την αναφορά σας για γνωμοδότηση στις αρμόδιες εθνικές αρχές, και συγκεκριμένα στο Υπουργείο Δικαιοσύνης, στο Υπουργείο Εσωτερικών και στην Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ)».
Μετά τη συζήτηση, η Επιτροπή ζήτησε εξηγήσεις από τα αρμόδια υπουργεία Εσωτερικών και Δικαιοσύνης, καθώς επίσης και από την ΑΔΑΕ, όπως αναφέρεται σε επιστολή που εστάλη από τον πρόεδρο της Επιτροπής στον Γ. Φλωρά και είχαν δημοσιεύσει οι Data Journalists. Είναι μια ακόμη περίπτωση που η Ελλάδα μπαίνει στο μικροσκόπιο της Ευρώπης.
Να σημειωθεί ότι η αναφορά του κ. Φλωρά έχει ήδη παραπεμφθεί και στην Επιτροπή LIBE του Ευρωπαϊκού Κοινοβουλίου. Δηλαδή την Επιτροπή που παρακολουθεί την κατάσταση του κράτους δικαίου στις χώρες μέλη της ΕΕ, μεταξύ αυτών και την Ελλάδα.
Φλωράς: Η μεγαλύτερη παραβίαση του απορρήτου των επικοινωνιών σε Ελλάδα και Ευρώπη
Σε δήλωσή του στους Data Journalists ο κ. Φλωράς κάνει λόγο για τη «μεγαλύτερη παραβίαση του απορρήτου των επικοινωνιών στην Ελλάδα και μια από τις μεγαλύτερες στην Ευρώπη», ενώ επιρρίπτει ευθύνες στην ίδια την εταιρεία.
Διαβάστε αναλυτικά τη δήλωση του κ. Φλωρά:
«Θεωρώ αδιανόητο αυτό που συμβαίνει. Έχουμε την μεγαλύτερη παραβίαση του απορρήτου των επικοινωνιών στην Ελλάδα και μια από τις μεγαλύτερες στην Ευρώπη. Από τα στοιχεία προκύπτει ότι η εταιρεία COSMOTE έχει σημαντική ευθύνη καθώς παρέλειψε να λάβει τα απαραίτητα μέτρα ασφαλείας που όφειλε να είχε λάβει και διευκόλυνε σημαντικά τους χάκερ να είναι στα συστήματά της για 5 μήνες, να βλέπουν τις κλήσεις εκατομμυρίων Ελλήνων, να πάρουν αρχεία με τις κλήσεις όλων των συνδρομητών της (ανάμεσά τους πολιτικοί, δικαστικοί, δημοσιογράφοι, επιχειρηματίες, στρατιωτικοί, δημόσιοι λειτουργοί κ.λπ.). Ήδη το Διοικητικό Εφετείο απέρριψε την προσφυγή της COSMOTE επιβεβαιώνοντας πλήρως την ενοχή της. Και όμως, έως σήμερα, σχεδόν πέντε χρόνια μετά το έγκλημα, ουδείς έχει καθίσει στο σκαμνί του ποινικού δικαστηρίου, ωσάν όλα αυτά να έγιναν μαγικά, χωρίς κανένας να έχει ευθύνη».
